Sophos bugün kötü amaçlı yazılım Ajan Tesla hakkında yeni bir rapor yayınladı: "Ajan Tesla Bilgi Çalma Saldırılarını Artırıyor". Burada BT güvenlik uzmanları, saldırganların sisteme kötü amaçlı yazılım eklemeden önce uç nokta korumasını devre dışı bırakmak için yeni teknikleri nasıl kullandıklarını açıklıyor.
Ajan Tesla, 2014'ten beri bilinen ve saldırganlar tarafından veri hırsızlığı için kullanılan yaygın olarak kullanılan bir Uzaktan Erişim Aracıdır (RAT) - şimdi saldırılarla ilgili ayrıntılarla ilgili yeni güncellemeler gün ışığına çıktı. İçerik oluşturucular bunu dark web forumlarında satışa sunar ve sürekli günceller. Siber suçlular genellikle Ajan Tesla'yı spam e-postalar yoluyla bir ek olarak dağıtır.
Çok aşamalı süreç nüfuz eder
Teknikler, bir .NET indiricisinin pastebin ve hastebin gibi resmi üçüncü taraf web sitelerinden tek tek kötü amaçlı yazılım parçalarını kaptığı ve ardından tamamlanan kötü amaçlı yazılımla ortalığı kasıp kavurmak için parçaları bir araya getirdiği çok adımlı bir süreç içeriyor. Aynı zamanda kötü amaçlı yazılım, uygulamaların ve hizmetlerin kurulu güvenlik ürünleriyle entegre olmasına izin veren bir Windows özelliği olan Microsoft'un Kötü Amaçlı Yazılımdan Koruma Yazılım Arayüzündeki (AMSI) kodu değiştirmeye çalışır. Bununla siber suçlular, AMSI özellikli uç nokta güvenlik korumasını devre dışı bırakarak kötü amaçlı yazılımın herhangi bir engel olmadan indirilmesine, yüklenmesine ve çalışmasına izin verir.
Rapor prosedürü açıklar
Sophos'un yeni raporu, Ajan Tesla'nın dolaşımdaki iki versiyonunu detaylandırıyor. Her ikisi de, kimlik bilgisi hırsızlığı için hedeflenen uygulama sayısı gibi son güncellemelere sahiptir. Buna web tarayıcıları, e-posta istemcileri, sanal özel ağ istemcileri ve kullanıcı adlarını ve parolaları depolayan diğer yazılımlar dahildir, ancak bunlarla sınırlı değildir. Tuş vuruşlarını yakalamak ve ekran görüntüleri kaydetmek de mümkündür.
İki sürüm arasındaki farklar, saldırganların son zamanlarda RAT'ı nasıl geliştirdiğini ve artık birden çok güvenlik kaçırma ve şaşırtma tekniği kullandığını gösteriyor. Bunlar, anonimleştirici ağ istemcisi Tor'u yükleme ve kullanma seçeneklerini, komuta ve kontrol (C2) iletişimi için Telegram mesajlaşma API'sini ve Microsoft'un AMSI'sini hedeflemeyi içerir.
Ajan Tesla kötü amaçlı yazılımı yedi yılı aşkın bir süredir aktiftir, ancak Windows kullanıcılarının karşılaştığı en yaygın tehditlerden biri olmaya devam etmektedir. 2020'de e-posta yoluyla dağıtılan en iyi kötü amaçlı yazılım aileleri arasında yer alıyor. Sophos Teknoloji Evangelisti Michael Veit, Aralık ayında Sophos tarayıcıları tarafından yakalanan kötü amaçlı e-posta saldırılarının yaklaşık yüzde 20'sini Ajan Tesla'nın oluşturduğunu söyledi. "Çeşitli saldırganlar, ekran görüntüleri, klavye günlüğü ve pano yakalama yoluyla kullanıcı kimlik bilgilerini ve diğer bilgileri çalmak için kötü amaçlı yazılımı kullanıyor."
Sophos, BT yöneticileri için şunları önerir:
- Şüpheli e-postaları ve eklerini kullanıcılara ulaşmadan önce kontrol eden, algılayan ve engelleyebilen akıllı bir güvenlik çözümünün kurulumu.
- E-postaların söyledikleri gibi olduğunu doğrulamak için etkili kimlik doğrulama standartlarının oluşturulması.
Çalışanları, şüpheli e-postaların uyarı işaretlerini tanımaları ve şüpheli bir e-postayla karşılaştıklarında ne yapmaları gerektiği konusunda eğitin. - Kullanıcıları, olduklarını iddia ettikleri adres ve kişiden geldiklerinden emin olmak için e-postaları kontrol etmeye teşvik edin.
Kullanıcılara, bilinmeyen gönderenlerden gelen e-postalardaki ekleri asla açmamalarını veya bağlantıları tıklamamalarını tavsiye edin.
Sophos Intercept X uç nokta koruması, Troj/Tesla-BE ve Troj/Tesla-AW imzalarının yanı sıra makine öğrenimi teknolojisini kullanarak Ajan Tesla yükleyici kötü amaçlı yazılımını ve RAT'ı algılar.
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.